当前位置: 主页 > 网络知识 > CISCO技术 > SmartHammerG503防火墙配置方法

SmartHammerG503防火墙配置方法

时间:2009-11-16来源:互联网 点击:
       缺省情况下,SmartHammer防火墙在没有任何配置情况下,安全策略默认是启动的,各接口的安全级别都为0,即互相之间不可互相访问,这样是为了达到不经过任何配置,防火墙就已经实现安全隔离的目的;安全级别具备0-100个等级,数字越大,表示级别越高,一般情况下,确定好内部网络和外部网络的接口后,配置内部接口的安全级别最高,外部接口的安全级别最低;
在简单的应用条件下,可以首先确定防火墙的内部接口、外部接口及DMZ接口,并分别赋予不同的优先级别,一般来将,内部接口的优先级最高,DMZ次之,外部接口最低,这样就保证了内部接口对外部的全权访问,而外部主机无法主动访问内部网络;
在SmartHammer防火墙的实现策略中,设备本身也作为一个特殊的接口,可以通过local的相关指令来进行配置管理优先级别,在后面的文档中将详细介绍.
SmartHammer防火墙对于接口到达的数据,一般要经过3个方面的检测,状态检测、规则匹配和缺省策略;基本的原则如下:
1、对于已建连接,数据包允许通过,此时不在做后面的检测,体现了基于状态防火墙的主要特点;
2、对于非已建连接,要查看入接口和数据包将要转发的出接口是否能够匹配到规则,如果在入接口或出接口匹配到显示的规则,则根据规则匹配的情况进行相应通过或drop处理,而不再检测缺省策略;规则匹配的顺序是先入口,再出口;
3、对于在情况2中,入接口和出接口都没有匹配到规则的情况,此时执行缺省策略,在SmartHammer防火墙中,缺省策略是有安全级别来决定的;
对于已建连接和相关连接,防火墙允许数据包通过,相关连接如ftp协议的20和21端口,有内部网络发起的ftp协议连接请求成功后,ftp的数据传输数据连接就属于相关连接,可以通过;
缺省策略的判断依据是:
1、 当进入接口安全级别低于或等于离开接口的安全级别时,策略为deny;
2、 当进入接口安全级别高于离开接口的安全级别时,策略为permit。

各接口安全级别缺省为0,即各接口安全级别相同,在这种情况下,禁止所有访问。通过调整接口的安全级别,可以改变缺省策略。
接口安全级别配置
安全级别在接口下进行配置,定义好内部接口,外部接口并配置好安全级别后,防火墙的功能已经开始起作用了。
SmartHammer# configure terminal
SmartHammer(config)# interface ge0
SmartHammer(config-if)# ip security-level 90
SmartHammer(config-if)# exit
SmartHammer(config)# interface ge1
SmartHammer(config-if)# ip security-level 10
SmartHammer(config-if)# end
安全策略-过滤规则的配置:
为了丰富防火墙对业务的控制能力,SmartHammer防火墙采用access-list 作为安全策略的过滤规则,来对匹配的数据报文做不同的处理,access-list 只是简单的作为规则链,具有如下特点:
access-list 不同于传统的ACL概念,
access-list 没有缺省策略
access-list 也与接口安全级别没有关系
access-list 的启用基于接口,对于设备本身,可当作一个接口来考虑
access-list 在没有加载到接口前,过滤规则不起作用
可通过ip access-group in命令在进入接口上启用ACL规则链进行第一次访问控制,数据包经过路由后,对于发往其它接口的数据包,可通过ip access-group out命令在离开接口上启用ACL规则链进行第二次访问控制。
对于发往设备的数据包,可通过local ip access-group in启用ACL规则链进行第二次访问控制。对于设备发出的数据包,防火墙不做控制
配置例子:
access-list inside permit tcp 192.168.0.0/16 any 0.0.0.0/0 80
inside :访问策略的名称
permit:动作,允许或拒绝(permit\deny)
tcp:协议名称或协议号,如TCP、UDP、ICMP
192.168.0.0/16 :数据包源IP地址,可以是主机地址或网段地址,不加子网掩码为主机地址
any:数据包源端口号,只对TCP、UDP数据有效,any为所有的端口
0.0.0.0/0:数据包目的IP地址,可以是主机地址或网段地址
80:数据包目的端口号,只对TCP、UDP数据有效
支持基于时间的ACL,由于用的不多在此不做赘述,看参阅HSOS配置手册
基于角色的安全策略:
SmartHammer(config)# access-list admin permit ip admin-ip any any 80
admin-ip:地址组名称,下面为其定义的地址组
SmartHammer(config)# ip-group admin-ip
SmartHammer(config-ip-group)# address 192.168.0.10
SmartHammer(config-ip-group)# address 10.1.1.10
SmartHammer(config)# access-list user deny tcp 192.168.0.0/16 any serverip highport
serverip:地址组名称,下面为其定义的地址组
SmartHammer(config)# ip-group serverip
SmartHammer(config-ip-group)# address 10.1.0.4
SmartHammer(config-ip-group)# address 10.1.0.5
highport:端口组名称,下面为其定义的端口组
SmartHammer(config)# port-group highport
SmartHammer(config-port-group)# port 1138
SmartHammer(config-port-group)# port 21
如果想要允许外部网络可以主动访问内部网络,只能通过增加特定的过滤规则一种方式,来允许特定的业务访问内部网络;
SmartHammer(config)# access-list toDMZ permit tcp any any 192.168.0.10 80
SmartHammer(config)# ip access-group ge1 ge2 toDMZ
ge1:数据入接口
ge2:数据出接口
toDMZ:策略标识(即ACL名称)
上面的意思即为容许外部的设备访问DMZ区的WWW服务器(192.168.0.10 )
允许特定主机访问防火墙设备
请不要把本地接口地址理解成loopback的IP地址,设备所有的接口都相当于本地设备,添加本地的安全策略时,可以选择任何一个接口的地址作为过滤规则使用;
access-list admin permit tcp administrator any 192.168.0.1 adminport
admin:策略(ACL名称)
administrator:管理员IP组
SmartHammer(config)# ip-group administrator
SmartHammer(config-ip-group)# address 192.168.0.10
SmartHammer(config-ip-group)# address 192.168.1.11
SmartHammer(config-ip-group)# address 192.168.2.10
adminport:管理端口组
SmartHammer(config)# port-group adminport
SmartHammer(config-port-group)# port 23
SmartHammer(config-port-group)# port 443
应用这个策略:
SmartHammer(config)# local ip access-group admin
NAT配置:
定义一个外部合法地址池:
ip nat pool SM 202.99.8.2 202.99.8.200 netmask 255.255.255.0
PAT:转换成一个单一合法地址,
ip nat pool SM 202.99.8.1 202.99.8.1 netmask 255.255.255.255
定义NAT语句:
ip nat ge1 source list 10 interface
ge1:NAT名称
interface:PAT:转换成出接口地址
或者以下面的格式,转换成外部地址池:
ip nat Outside source list 10 pool SM   //将内部地址nat为外部地址池内的地址
定义符合转换条件的内部地址:
access-list 10 permit ip 192.168.0.0/16
在外部接口下启用指定的NAT:
SmartHammer(config)# interface ge1
SmartHammer(config-if)# ip nat Outside
NAT的实现与ACL的实现类似,首先可以配置几条NAT规则链,在接口上没启用规则链之前,规则链并不起作用;
SmartHammer的NAT转换和路由器的使用方式存在一些不同,SmartHammer不用象路由器那样定义inside和outside接口,SmartHammer在接口数据转发的时候,会自动进行NAT转换处理,这种在接口下直接通过NAT的名字来启用 ,方便了NAT的配置管理,比如在不同的出接口启用不同的NAT转换;
NAT只是使用ACL作为条件匹配,应该尽量避免使用deny和any的关键字,尤其是使用any,SmartHammer把所有数据报文做源地址转换,包括本设备本身发出的数据包,所有使用时应该尽量使用permit关键字对于特定的网段进行设置;
静态地址转换 static NAT
ip nat Snat source static 192.168.1.10 202.99.8.10
ip nat Snat source static 192.168.1.11 202.99.8.11
另外,在一个NAT内,可以同时配置静态NAT和动态NAT
SHammer(config)# ip nat Snat source static 192.168.1.11 202.99.8.11 //静态的一对一转换
SHammer(config)# ip nat Snat source list 10 202.88.8.12 //其他符合条件的内部地址将转换成唯一的合法地址
最后别忘记了在端口上应用 :)
.
分页: [1] [2] [3]
TAG: 防火墙 华为smarthammerg530

查看[SmartHammerG503防火墙配置方法]所有评论
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
用户名: 验证码:
推荐内容最近更新人气排行
关于我们 | 友情链接 | 网址推荐 | 常用资讯 | 网站地图 | RSS | 网站留言